Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
Bundestrojaner über Portage?
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

Goto page Previous  1, 2, 3, 4, 5, 6, 7  Next  
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum
View previous topic :: View next topic  
Author Message
manuels
Advocate
Advocate


Joined: 22 Nov 2003
Posts: 2146
Location: Europe

PostPosted: Mon Mar 12, 2007 9:13 am    Post subject: Reply with quote

Naja, ich wuerde sagen, bleiben wir auf dem Teppich.
SSL uebers Rsync gelegt und die Sache ist erledigt.
_________________
Build your own live cd with catalyst 2.0!
Back to top
View user's profile Send private message
slick
Bodhisattva
Bodhisattva


Joined: 20 Apr 2003
Posts: 3487

PostPosted: Mon Mar 12, 2007 10:27 am    Post subject: Reply with quote

manuels wrote:
SSL uebers Rsync gelegt und die Sache ist erledigt.


Ich denke SSL wird da gern überschätzt. SSL ist nur so mächtig wie die dahinterstehende Struktur der Zertifikate. Solange jeder Server sein selbstsigniertes Zertifikat hat kann man SSL auch komplett weglassen. Man dann muß eine vertrauenswürde CA aufgebaut werden, am besten noch von einer großen bekannten CA signiert, welche die Zertifikate aller Rsync-Server ausstellt. Und dann müssen die Clients die Zertifikate auch wirklich gegen die CA prüfen, sonst macht das keinen Sinn. D.h. "SSL-Verschlüsselung" allein bringt gar nichts, da muß eine richtige "Infrastruktur" dahinter und das wird wohl nicht so schnell gehen.
Back to top
View user's profile Send private message
kayssun
n00b
n00b


Joined: 11 Mar 2007
Posts: 15

PostPosted: Mon Mar 12, 2007 10:47 am    Post subject: Reply with quote

slick wrote:
Ich denke SSL wird da gern überschätzt. SSL ist nur so mächtig wie die dahinterstehende Struktur der Zertifikate. Solange jeder Server sein selbstsigniertes Zertifikat hat kann man SSL auch komplett weglassen.


Naja, es würde die Sicherheit aber ein ganzes Stück erhöhen. Vorrausgesetzt man ist nicht von Anfang an schon mit dem falschen Rechner verbunden (und da könnte man ohnehin nichts gegen machen, es könnte ja im Prinzip ALLES kompromittiert sein...) merkt man ja, dass sich die Signatur ändert (emerge --sync bricht erstmal mit einer Fehlermeldung ab, man muss dann z.B. mit emerge --new-certificate --sync starten). Man könnte zumindest stutzig werden.

Zu Tor: Ich habe mir das Programm noch nicht genau angeschaut, aber wenn jemand beim Provider meine Daten abfängt, kann er mich dann nicht theoretisch auch ein "Tor-Fangnetz" leiten?

Klingt alles sehr paranoid und da ich nicht vorhabe, Dinge zu tun, die die Polizei auf mich hetzt, ist mir das auch nicht SO wichtig, aber die "Lücke" im Portage-Tree kann ja auch schon ein böswilliger Hacker ausnutzen um ein paar Gentoo-Linux-Bots zu bekommen. Einfach dem deutschen Rsync-Server was neues unterschieben und hoffen, dass es niemand schnell genug merkt...
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2105
Location: Konradsreuth (Germany)

PostPosted: Mon Mar 12, 2007 10:53 am    Post subject: Reply with quote

Man könnte natürlich ein TCPA-System einsetzen. Auf dem läuft dann der Bundestrojaner nicht *ggg*
Back to top
View user's profile Send private message
oscarwild
l33t
l33t


Joined: 15 Jul 2003
Posts: 857
Location: Memmingen, Germany, Old Europe, Earth

PostPosted: Mon Mar 12, 2007 11:04 am    Post subject: Reply with quote

kayssun wrote:
Klingt alles sehr paranoid und da ich nicht vorhabe, Dinge zu tun, die die Polizei auf mich hetzt

Naja, man muss allerdings auch sagen, dass man auch mehrere Jahrhunderte nach der Inquisition gar nichts böses anstellen muß, um unangenehmen Besuch zu bekommen...
_________________
http://blog.selbsthilfenetzwerk-cannabis-medizin.de
Back to top
View user's profile Send private message
Carlo
Developer
Developer


Joined: 12 Aug 2002
Posts: 3356

PostPosted: Mon Mar 12, 2007 12:32 pm    Post subject: Reply with quote

dmaus wrote:
Quote:
Wer paranoid ist, kann die Snapshots nutzen.

Ist nicht ausreichend.

Der Snapshot ist signiert, d.h. sofern du die Signatur überprüfst (und der GPG-Schlüssel nicht kompromitiert ist), ist eine MITM-Attacke ausgeschlossen.

dmaus wrote:
Nach der Funktionsweise des Bundestrojaners können dir die Behörden auch einen manipulierten Portage-Snapshot unterschieben.

Die da wäre?! Die Phrasendrescherei von Politkern und anderen Staatsdienern mit nullkommanull Ahnung von der Materie muß man technisch so ernst nicht nehmen, politisch dienen solche Scheindebatten dazu von der Zusammenlegung von Datenpools und anderen Wünschen der Strafverfolgungsbehörden, Geheimdienste und der (Medien-)Wirtschaft abzulenken.


Ansonsten kann ich mich oscarwild nur anschließen.
_________________
Please make sure that you have searched for an answer to a question after reading all the relevant docs.
Back to top
View user's profile Send private message
manuels
Advocate
Advocate


Joined: 22 Nov 2003
Posts: 2146
Location: Europe

PostPosted: Mon Mar 12, 2007 12:46 pm    Post subject: Reply with quote

slick wrote:
manuels wrote:
SSL uebers Rsync gelegt und die Sache ist erledigt.


Ich denke SSL wird da gern überschätzt. SSL ist nur so mächtig wie die dahinterstehende Struktur der Zertifikate.

Klar, man muss schon SSL korrekt nutzen, damit es funktioniert. Aber das ist bei allem so. Finde ich jetzt nicht so aufwendig, allen Servern eine vertrauenswürdes Zertifikat zu verpassen...
_________________
Build your own live cd with catalyst 2.0!
Back to top
View user's profile Send private message
slick
Bodhisattva
Bodhisattva


Joined: 20 Apr 2003
Posts: 3487

PostPosted: Mon Mar 12, 2007 12:58 pm    Post subject: Reply with quote

manuels wrote:
Klar, man muss schon SSL korrekt nutzen, damit es funktioniert. Aber das ist bei allem so. Finde ich jetzt nicht so aufwendig, allen Servern eine vertrauenswürdes Zertifikat zu verpassen...


Stellen wir uns aber mal vor wir sind richtig paranoid, hilft auch das SSL-Zertifikat nicht. Denn was legitimiert jemand dazu einen öffentlichen Rsync zu betreiben? Da geht der $verdeckterErmittler 3x zu den Gentoo-Treffen und macht ein nettes Gesicht und stellt dann zum Wohl der Community einen Rync auf. Mit paar Kontakten sollte das kein Problem sein in die DNS-Rotation zu kommen ... aber ich glaube das ist nichts um klein Fritzchen zu fangen.

Was ich damit sagen will, wenn man es sehr genau nimmt läßt sich ein Risiko nicht aussschliessen (bzw. mit vertretbaren Mitteln auch nicht verhindern), aber mit gesundem Mißtrauen (was hier die meisten haben werden) läßt sich schon die ein oder andere Möglichkeit von vorn herein verhindern.
Back to top
View user's profile Send private message
manuels
Advocate
Advocate


Joined: 22 Nov 2003
Posts: 2146
Location: Europe

PostPosted: Mon Mar 12, 2007 1:04 pm    Post subject: Reply with quote

Ok, da sind wir uns einig! :D
100%ig Paranoide sollten ihr eigenes OS schreiben und die auch Hardware gleich selber bauen (zum Schutz vor PCI-Rootkits) :lol:
_________________
Build your own live cd with catalyst 2.0!
Back to top
View user's profile Send private message
Keruskerfuerst
Veteran
Veteran


Joined: 01 Feb 2006
Posts: 1753

PostPosted: Mon Mar 12, 2007 2:25 pm    Post subject: Reply with quote

slick wrote:
Keruskerfuerst wrote:
Man könnte auch Verschlüsselungsmethoden verwenden, die nicht dekodierbar sind.
Z.B.: die Glasfaserleitungen mit einer Quantensignatur versehen oder Verschlüsselungsalgorithmen, die nicht codebasiert sind.

Dekodierbar sind sie alle (ist nur eine Frage der Zeit/Rechenleistung), die Quantenübertragung hat AFAIK nur den Vorteil das sie abhörsicher ist da durch Messung der Übertragung diese geändert wird und somit die Mitteilung zerstört bzw. der Lauschversuch erkannt wird.


Man kann mathematisch beweisen, daß manche Verschlüsselungsmethoden (die ich nicht kenne...) nicht zu knacken sind.
Back to top
View user's profile Send private message
manuels
Advocate
Advocate


Joined: 22 Nov 2003
Posts: 2146
Location: Europe

PostPosted: Mon Mar 12, 2007 2:33 pm    Post subject: Reply with quote

Da gibt es wohl nur eine: One-Time-Pad
Kann man hier aber definitiv nicht anwenden.
_________________
Build your own live cd with catalyst 2.0!
Back to top
View user's profile Send private message
dmaus
n00b
n00b


Joined: 15 Mar 2006
Posts: 69

PostPosted: Mon Mar 12, 2007 3:48 pm    Post subject: Reply with quote

@becks
Quote:

Quote:
3. Für Server, bei denen mir der Schutz gegen diese Sorte Angriff wichtig ist, kommt kein Gentoo zum Einsatz, sondern Debian Etch.

Und was ist daran potenziell sicher(rer)?


Unter Etch ist die Prüfung einer mit GnuPG erstellten digitalen Signatur der Installationspakete möglich. Womit "nur noch" das Problem besteht, die Vertrauenswürdigkeit der signierenden Schlüssel sicher zu stellen.

@carlo:

Quote:
Der Snapshot ist signiert, d.h. sofern du die Signatur überprüfst (und der GPG-Schlüssel nicht kompromitiert ist), ist eine MITM-Attacke ausgeschlossen.


Korrekt. Hatte ich nicht auf dem Schirm.

Quote:
Quote:
Nach der Funktionsweise des Bundestrojaners können dir die Behörden auch einen manipulierten Portage-Snapshot unterschieben.


Die da wäre?!


"Funktionsweise" bezog sich gänzlich auf MITM -- von daher siehe oben: An Snapshots laden und gpg-Signatur überprüfen habe ich nicht gedacht.
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2105
Location: Konradsreuth (Germany)

PostPosted: Mon Mar 12, 2007 4:08 pm    Post subject: Reply with quote

Quote:
Man kann mathematisch beweisen, daß manche Verschlüsselungsmethoden (die ich nicht kenne...) nicht zu knacken sind.

Man kann allerhöchstens beweisen, daß manche mathematische Probleme mit den derzeit zur Verfügung stehenden technischen Möglichkeiten zu lange dauern würden, um sie zu knacken. "Nicht zu knacken" ist falsch. "Zu langwierig, um geknackt zu werden" stimmt da wohl eher. Man bedenke den Quantencomputer!

Man suche die beiden Primfaktoren eines öffentlichen RSA-Schlüssels und gut! Das ist, wie gesagt, derzeit kaum durchführbar, da dieses Problem, für hinreichend große Zahlen, eben einfach derzeit nicht in einer angemessenen Zeit lösbar ist. Aber es ist sicher nicht so, daß man es prinzipiell nicht lösen könnte.
Back to top
View user's profile Send private message
papahuhn
l33t
l33t


Joined: 06 Sep 2004
Posts: 600

PostPosted: Mon Mar 12, 2007 7:40 pm    Post subject: Reply with quote

Nein, ein One-Time-Pad ist auch mit unbegrenzter Rechenleistung nicht knackbar.
_________________
Death by snoo-snoo!
Back to top
View user's profile Send private message
manuels
Advocate
Advocate


Joined: 22 Nov 2003
Posts: 2146
Location: Europe

PostPosted: Mon Mar 12, 2007 8:24 pm    Post subject: Reply with quote

Jo, nur halt sehr schwierig zu realisieren. Und bei diesem Thema sowieso nicht praktikabel :D
_________________
Build your own live cd with catalyst 2.0!
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2105
Location: Konradsreuth (Germany)

PostPosted: Mon Mar 12, 2007 9:57 pm    Post subject: Reply with quote

Dann generier mal für jeden User einen Schlüssel, der so lang ist, wie der Portage-Baum!

Ich würde mal sagen: zurück zum Thema ;-)
Back to top
View user's profile Send private message
manuels
Advocate
Advocate


Joined: 22 Nov 2003
Posts: 2146
Location: Europe

PostPosted: Mon Mar 12, 2007 10:08 pm    Post subject: Reply with quote

ich dachte, das hätten wir schon gelöst: Portage-Snapshots mit GPG-Unterschrift
_________________
Build your own live cd with catalyst 2.0!
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2105
Location: Konradsreuth (Germany)

PostPosted: Tue Mar 13, 2007 8:18 am    Post subject: Reply with quote

Und wer garantiert mir, daß die GPG-Unterschrift von jemandem kommt, der vertrauenswürdig ist?!
Back to top
View user's profile Send private message
manuels
Advocate
Advocate


Joined: 22 Nov 2003
Posts: 2146
Location: Europe

PostPosted: Tue Mar 13, 2007 8:24 am    Post subject: Reply with quote

Nagut, wenn du so anfaengst, musst du dein eigenes OS schreiben. :roll:
_________________
Build your own live cd with catalyst 2.0!
Back to top
View user's profile Send private message
Finswimmer
Moderator
Moderator


Joined: 02 Sep 2004
Posts: 5406
Location: Langen (Hessen), Germany

PostPosted: Tue Mar 13, 2007 8:29 am    Post subject: Reply with quote

Libby wrote:
Und wer garantiert mir, daß die GPG-Unterschrift von jemandem kommt, der vertrauenswürdig ist?!


Wenn du sagst, ich traue keinem, dann geht gar nix.
Wenn du aber sagst, du vertraust dem großteil der Devs "einfach" blind, musst du nur die Unterschrift sicher bekommen...

Tobi
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke
Back to top
View user's profile Send private message
manuels
Advocate
Advocate


Joined: 22 Nov 2003
Posts: 2146
Location: Europe

PostPosted: Tue Mar 13, 2007 8:35 am    Post subject: Reply with quote

Naja, genau genommen nur den GPG-Fingerabdruck
_________________
Build your own live cd with catalyst 2.0!
Back to top
View user's profile Send private message
l3u
Advocate
Advocate


Joined: 26 Jan 2005
Posts: 2105
Location: Konradsreuth (Germany)

PostPosted: Tue Mar 13, 2007 9:11 am    Post subject: Reply with quote

Am besten benutzt man MenuetOS. Die sind sicher zu faul, den Bundestrojaner dafür zu schreiben ;-)
Back to top
View user's profile Send private message
Finswimmer
Moderator
Moderator


Joined: 02 Sep 2004
Posts: 5406
Location: Langen (Hessen), Germany

PostPosted: Tue Mar 13, 2007 9:13 am    Post subject: Reply with quote

Libby wrote:
Am besten benutzt man MenuetOS. Die sind sicher zu faul, den Bundestrojaner dafür zu schreiben ;-)


Ohje..Ich hol da lieber meinen Atari raus :D
_________________
Bitte auf Rechtschreibung, korrekte Formatierung und Höflichkeit achten!
Danke
Back to top
View user's profile Send private message
Necoro
Veteran
Veteran


Joined: 18 Dec 2005
Posts: 1912
Location: München (Germany)

PostPosted: Tue Mar 13, 2007 9:33 am    Post subject: Reply with quote

Ich geh die ganze Sache anders an ... sollte der ominöse Bundestrojaner kommen (woran ich ehrlich gesagt nicht wirklich glaube), muss ich entweder irgendwen irgendwo verklagen (und wenn man es schafft, diesen Trojaner irgendwie als wirtschaftliche Hemmung darzustellen, wird wahrscheinlich die EU bzw der EuGH der dt Bundesregierung auf die Finger hauen) ... oder es bleibt nur noch auswandern ^^
_________________
Inter Deum Et Diabolum Semper Musica Est.
Back to top
View user's profile Send private message
tgurr
Developer
Developer


Joined: 27 Jan 2004
Posts: 571
Location: germany

PostPosted: Tue Mar 13, 2007 10:09 am    Post subject: Reply with quote

Hmm aber wenn du auswanderst verschleppst du das deutsche Skynet ja in alle Welt. ;)
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Deutsches Forum (German) Diskussionsforum All times are GMT
Goto page Previous  1, 2, 3, 4, 5, 6, 7  Next
Page 2 of 7

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum